2001/12/23 [日]
さすが IE。まだまだネタを提供してくれます。今回の問題は 2ch で問題となった fusianasan trap で用いられている、セキュリティーホールの話です。fusianasan trap ではいくつかの IE の穴を利用していますが、今回新しい種類のセキュリティーホールが使われていることが判ったようです。そのセキュリティーホールをつくとスクリプトの実行を無効にしているにもかかわらず、スクリプトが実行されてしまいます。
一つ目は、IE5 ではビヘイビアイベントハンドラを使用すると、設定に関わらずスクリプト実行されてしまうとのこと。しかしこれは IE6 では修正されています。
もう一つは、html と time2 という機能を使ったとき execScript というコマンドが実行されてしまうという問題。これは、現在のところ問題を解決するためのパッチなどはありません。しかし、回避方法がいくつか分かっています。
回避方法
<?import namespace=t implementation=#default#time2 />
<t:set id=set1 to='' attributeName = document.
余談2: Netscape や Mozilla では全く問題がありません。
参考:
[memo:2427] Re: fusianasanトラップになんらかの対処を
[memo:2432] Re: fusianasanトラップになんらかの対処を
スクリプト実行テスト
一つ目は、IE5 ではビヘイビアイベントハンドラを使用すると、設定に関わらずスクリプト実行されてしまうとのこと。しかしこれは IE6 では修正されています。
もう一つは、html と time2 という機能を使ったとき execScript というコマンドが実行されてしまうという問題。これは、現在のところ問題を解決するためのパッチなどはありません。しかし、回避方法がいくつか分かっています。
回避方法
- html+time2 を無効にする。
無効化(登録削除): regsvr32 /u mstime.dll
有効化(登録): regsvr32 mstime.dll
- アクティブスクリプトを無効にした上で、「Webページのアニメーションを再生する」を止める。
<?import namespace=t implementation=#default#time2 />
<t:set id=set1 to='' attributeName = document.
余談2: Netscape や Mozilla では全く問題がありません。
参考:
[memo:2427] Re: fusianasanトラップになんらかの対処を
[memo:2432] Re: fusianasanトラップになんらかの対処を
スクリプト実行テスト
by seclan